Експертите идентификуваа злонамерна апликација наречена Process Manager која делува како шпионски софтвер за Android и пренесува информации до хакерите.
Досега непознат малициозен софтвер за Android е поврзан со руската хакерска група Турла, откако беше откриено дека апликацијата ја користела инфраструктурата што претходно и се припишувала на таа група.
Турла е руска хакерска група поддржана од државата, позната по тоа што користи прилагоден малициозен софтвер за таргетирање на европски и американски системи, првенствено шпионажа.
Турла неодамна беше поврзан со малициозен софтвер за задна врата Sunburst, користен во напад на синџирот на снабдување SolarWinds во декември 2020 година.
Spyware?
Експертите од Lab52, одделот за разузнавачки закани на меѓународната компанија за сајбер безбедност S2 Grupo, идентификуваа злонамерна апликација наречена Process Manager која делува како шпионски софтвер за Android и пренесува информации до хакерите.
Иако не е јасно како се дистрибуира шпионскиот софтвер, откако ќе се инсталира, Process Manager се обидува да го скрие на уредот со Android користејќи икона за менувачот, преправајќи се дека е компонента на оперативниот систем.
По првото лансирање, апликацијата бара од корисникот да му дозволи да ги користи следните 18 дозволи:
– Пристап до груба локација, – Пристап до добра локација,, Пристап до статус на мрежата, – WiFi пристап, – Камера, – Преден план. – Интернет, – Променете ги поставките за аудио, – Читајте дневник на повици, – Читајте контакти
– Читање надворешна меморија, – Надворешна меморија- Читање статус на телефонот, – Читање СМС пораки, – Примање подигање завршено – сигнал испратен до апликациите за време на процесот на подигање, што покажува дека системот навистина е рестартиран, Снимајте звук, – Испраќајте СМС пораки, – Дневник за будење
По добивањето дозвола, иконата исчезнува
Не е јасно дали злонамерниот софтвер ја злоупотребува услугата за пристапност на Android за да си даде дозволи или го мами корисникот да го одобри барањето сам. По добивањето дозволи, шпионскиот софтвер ја отстранува својата икона и работи во заднина со само трајно известување кое укажува на неговото присуство.
Овој аспект е прилично чуден за шпионскиот софтвер, кој обично треба да се обиде да остане скриен од жртвата, особено ако е дело на софистицирана група за напредни постојани закани (APT).
Информациите собрани од уредот, вклучувајќи списоци, записи, СМС, снимки и известувања за настани, се испраќаат во JSON формат до серверот за команди и контрола на 82.146.35 [.] 240.
Начинот на дистрибуција на самата апликација е непознат, но ако навистина е Турли, тие најчесто користат социјален инженеринг, фишинг и други напади, па може да биде било кој метод на дистрибуција.
Овие дозволи претставуваат сериозен ризик за приватност, бидејќи му дозволуваат на споменатиот малициозен софтвер да ја преземе локацијата на уредот, да испраќа и чита текстови, да пристапува до складиштето, да фотографира со камерата и да снима звук.
Успатно и до заработка?
Истражувајќи ја апликацијата, тимот на Lab52 открил и дека презема дополнителни товари на уредот и пронашол случај на апликација преземена директно од Play Store.
Апликацијата се вика „Roz Dhan: Make Money in Your Wallet“ и е многу популарна, со 10.000.000 преземања и содржи систем на препораки за генерирање пари.
Наводно шпионскиот софтвер презема Андроид пакет (APK) преку систем за упатување апликации, веројатно за да заработи провизија, што е малку чудно со оглед на тоа што хакерската група е фокусирана на сајбер шпионажа. Но, таквата тактика може да помогне да се прикријат и збунат аналитичарите.